Kalp ameliyatı ürünlerinde uzmanlaşmış önde gelen tıbbi cihaz üreticisi Artivion, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yakın zamanda yaptığı 8-K başvurusunda bir fidye yazılımı saldırısını açıkladı. 21 Kasım 2024’te meydana gelen Artivion siber saldırısı şirketin operasyonlarını aksattı ve olayı kontrol altına almak ve araştırmak için çalışırken birçok sistemi çevrimdışına almak zorunda kaldı.
Artivion Siber Saldırı Ayrıntıları
SEC dosyasında Artivion’un siber güvenlik ihlaline yanıt olarak attığı adımlar özetlendi. Dosyada “Artivion, Inc. (‘Artivion’ veya ‘Şirket’) 21 Kasım 2024’te bir siber güvenlik olayını tespit etti ve bu olayı ele almak için önlemler almaya başladı” denildi. Şirketin acil müdahalesi, belirli sistemlerin çevrimdışına alınması, bir soruşturma başlatılması ve hukuk, siber güvenlik ve adli analiz konularında harici uzmanların görevlendirilmesini içeriyordu.
Saldırganlar dosyaları şifreledi ve ele geçirilen sistemlerden veri sızdırdı ancak Artivion olayı açıkça bir fidye yazılımı saldırısı olarak etiketlemekten kaçındı. Ancak dosya şifreleme ve veri hırsızlığının tanımı, fidye yazılımı operasyonlarının özellikleriyle uyumludur.
Artivion Siber Saldırısının Operasyonel ve Finansal Etkisi
Kesintiye rağmen Artivion müşterilerine ürün ve hizmet sunmaya devam etti. Şirket, Artivion’a yapılan siber saldırının sipariş ve sevkiyat süreçlerinde geçici kesintilerin yanı sıra bazı kurumsal operasyonlarda aksamalara neden olduğunu itiraf etti. Artivion bu sorunları büyük ölçüde azalttı ancak sistemlerini güvenli bir şekilde geri yüklemek için çalışmaya devam ediyor.
1.250’den fazla kişiyi istihdam eden ve Atlanta, Georgia’da üretim tesisleri işleten Atlanta merkezli şirket; Austin, Teksas; ve Almanya’nın Hechingen kenti, saldırının genel mali durumu veya operasyonel sonuçları üzerinde önemli bir etkisinin olmadığını belirtti. Ancak Artivion, olayla ilgili olarak, bir kısmı sigorta kapsamına girmeyen ek maliyetlerin ortaya çıkacağını öngörüyor.
SEC dosyasında, “Olayın şirketin mali durumu veya faaliyet sonuçları üzerinde önemli bir etkisi olmadığına inanmamıza rağmen, olayın gelecekte maddi bir etki yaratmayacağına dair güvence veremeyiz” uyarısı yapıldı.
Sağlık Sektöründe Fidye Yazılımı Tehditleri
Artivion, ABD sağlık sektörünü hedef alan bir dizi fidye yazılımı saldırısının sonuncusu olup kuruluşların bu kritik sektördeki savunmasızlığını vurguluyor. Ekim ayında, Connecticut ve New York’ta hizmet veren çok uzmanlıklı bir sağlık grubu olan Boston Çocuk Sağlığı Doktorları (BCHP), bir fidye yazılımı saldırısının ardından önemli bir veri ihlaline maruz kaldı.
BianLian fidye yazılımı grubuna atfedilen ihlal; çalışanlara, hastalara ve garantörlere ait hassas bilgileri tehlikeye attı. BCHP, olay müdahale protokollerini uygulayarak hızlı bir şekilde harekete geçti, ancak saldırı, üçüncü taraf BT sağlayıcılarına bağımlı olan sağlık hizmeti sağlayıcılarının karşı karşıya olduğu devam eden riskleri ortaya çıkardı.
Sağlık Siber Güvenliğine Yönelik Daha Geniş Etkiler
Artivion’a yapılan fidye yazılımı saldırısı, sağlık kuruluşlarına ve tedarik zincirlerine yönelik büyüyen tehdidin altını çiziyor. Artivion gibi tıbbi cihaz üreticileri hasta bakımında hayati bir rol oynuyor ve operasyonlarında yaşanacak herhangi bir kesinti geniş kapsamlı sonuçlara yol açabilir.
Sağlık kuruluşlarına yönelik siber saldırılar genellikle, gasp amacıyla kullanılabilecek veya karanlık ağda satılabilecek hassas kişisel ve tıbbi verilerin çalınmasını içerir. Bu olaylar aynı zamanda sistem kesintisi ve kritik hizmetlerde gecikmeler gibi operasyonel zorlukları da beraberinde getiriyor.
Artivion’un harici uzmanlıktan yararlanmayı ve sınırlama önlemlerini uygulamayı içeren tepkisi, güçlü bir siber güvenlik olayı müdahale planına sahip olmanın önemini yansıtıyor. Bununla birlikte, şirketin ortaya çıkan ek maliyetleri kabul etmesi, bu tür olayların siber sigorta kapsamına sahip kuruluşlar için bile yarattığı mali yükün altını çiziyor.
Sektörün Yanıtı ve Sonraki Adımlar
Büyüyen tehdit ortamının ışığında sağlık kuruluşları ve ortaklarının siber güvenliğe öncelik vermesi gerekiyor. Bu şunları içerir:
- Düzenli Risk Değerlendirmeleri: Riskleri proaktif olarak azaltmak için BT altyapısı ve tedarik zincirlerindeki güvenlik açıklarının belirlenmesi.
- Çalışan Eğitimi: Çalışanların, fidye yazılımı operatörleri tarafından yaygın olarak kullanılan kimlik avı girişimlerini ve diğer saldırı vektörlerini tanımasını sağlamak.
- Olay Müdahale Planlaması: İhlal durumunda kesintileri ve mali kayıpları en aza indirmek için kapsamlı yanıt protokollerinin geliştirilmesi ve test edilmesi.
- Yetkililerle İşbirliği: Fidye yazılımı gruplarını izlemek ve engellemek için tehdit istihbaratını kolluk kuvvetleri ve siber güvenlik kurumlarıyla paylaşmak.
Artivion, siber saldırının önemli bir finansal etkisi olmadığını belirtirken durum halen belirsizliğini koruyor. Sağlık ve tıbbi cihaz sektörlerindeki şirketlerin uyanık kalması, gelişmiş siber güvenlik önlemlerine yatırım yapması ve gelişen siber tehditlerin oluşturduğu riskleri azaltmak için bir farkındalık kültürü geliştirmesi gerekiyor.